一种基于Android手机的证据收集和固定方法技术

本发明专利技术公开了一种基于Android手机的证据收集和固定方法，本方法不仅可以通过ADB对设备的基本信息、应用程序信息、多媒体等信息进行常规备份取证获取证据，也可以针对不同的取证场景给出不同的取证解决方案，其中记忆卡备份方案解决了无法识别设备情况下的取证获取问题；利用恢复模式备份解决了ADB命令不可用(例如设备调试模式关闭且手机锁屏)情况下的取证获取问题；植入第三方程序备份在无法获得ROOT权限的情况下仍然可以获得可观的信息。取证人员可以根据实际情况对Android设备进行最大限度的取证，具有一定的综合创新性和实用性。同时采用细粒度的数据完整性检验方法对证据进行固定，使证据更具有可信性和法律效益。

【技术实现步骤摘要】
一种基于Android手机的证据收集和固定方法
本专利技术涉及一种基于Android手机的证据收集和固定方法，属于数字取证中手机取证领域。
技术介绍
智能手机取证在刑事侦查中的应用也将越来越多，对刑事侦查的支持也越来越强。因而对智能手机取证这一领域相关理论和实践研究也显得尤为重要。在取证人员对Android手机取证实践中常会遇到这样一些困难，比如，嫌疑人调试模式关闭情况下手机处于锁屏状态，此时取证人员无法通过正常的ADB命令获取数据；取证过程中会因硬件损坏或者无法安装设备驱导致取证设备无法识别该手机；无法通过现有的方式获取ROOT权限导致只能获取SD卡和设备内存中少量信息等等。以上情况的出现阻碍了取证过程的顺利进行，严重影响了取证以及之后取证分析的效果。在获取手机内存镜像过程中，多种动态性因素会导致前后两次镜像Hash值不一致。人们往往以此为由怀疑内存镜像的可靠性、获取证据的真实性，从而减弱了证据的证明力，在法庭上对证据的可采性产生一定的负面影响。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于Android手机的证据收集和固定方法,结合Android设备的特点和机制以及取证现本文档来自技高网...

【技术保护点】
1.一种基于Android手机的证据收集方法，其特征在于，该收集方法根据Android设备的特点和机制以及取证现场的实际情况，具体分解为四种不同情况：1)手机物理可识别、ADB命令可用、可获得ROOT权限情况下，通过常规备份的方式完成证据收集；2)手机物理可识别、ADB命令可用、但无法通过现有方法获得ROOT权限情况下，通过植入第三方程序备份的方式完成证据收集；3)手机物理可识别、ADB命令不可用情况下，通过恢复模式备份的方式完成证据收集；4)手机物理不可识别且无屏幕锁情况下，通过记忆卡备份的方式完成证据收集。

【技术特征摘要】
1.一种基于Android手机的证据收集方法，其特征在于，该收集方法根据Android设备的特点和机制以及取证现场的实际情况，具体分解为四种不同情况：1)手机物理可识别、ADB命令可用、可获得ROOT权限情况下，通过常规备份的方式完成证据收集；2)手机物理可识别、ADB命令可用、但无法通过现有方法获得ROOT权限情况下，通过植入第三方程序备份的方式完成证据收集；3)手机物理可识别、ADB命令不可用情况下，通过恢复模式备份的方式完成证据收集；4)手机物理不可识别且无屏幕锁情况下，通过记忆卡备份的方式完成证据收集。2.根据权利要求1所述的一种基于Android手机的证据收集方法，其特征在于，常规备份遵循连接手机—获取ROOT权限—数据备份的逻辑流程：连接手机，首先，确认调试模式已开启；然后，判断手机是否已经具有ROOT权限，如果没有则通过破解程序对ROOT权限进行提取；然后，用ADB命令获取信息，进行数据备份。3.根据权利要求2所述的一种基于Android手机的证据收集方法，其特征在于，ADB命令模式为“adbpullsPathdPath”，其中，sPath指取证人员想要获取的数据在手机中存放的位置，dPath指取证人员获取的数据在电脑上存放的位置。4.根据权利要求2所述的一种基于Android手机的证据收集方法，其特征在于，多条ADB命令执行时采用bat批处理的方式，且在数据传输时采用打包传输方式。5.根据权利要求1所述的一种基于Android手机的证据收集方法，其特征在于，植入第三方程序备份：植入利用AndroidSDK开发的带有取证功能的APK应用程序，利用AndroidAPI接口，在没有ROOT权限的工况下读取联系人、通话记录和短信...

【专利技术属性】
技术研发人员：王超，蒋小强，郑钧，汤国强，汤鲲，
申请(专利权)人：南京烽火软件科技有限公司，
类型：发明
国别省市：江苏,32